[译]docker概述
Docker
是一个开发、发布和运行应用程序的开放平台。Docker
使您能够将应用程序与基础架构分离,以便快速交付软件。有了Docker
,你可以像管理应用程序一样管理你的基础设施。通过利用Docker
快速发布、测试和部署代码的方法,您可以显著减少编写代码和在生产环境中运行代码之间的延迟
内容列表
Docker
平台Docker
引擎- 我能用
Docker
做什么? Docker
架构- 基础技术
Docker平台
Docker
提供了在松散隔离的环境(称为容器)中打包和运行应用程序的能力。隔离(isolation
)和安全性(security
)允许您在给定的主机上同时运行多个容器。容器是轻量级的,因为它们不需要额外的hypervisor
负载,而是直接在主机的内核中运行。这意味着您可以在给定的硬件组合上运行比使用虚拟机时更多的容器。你甚至可以在实际是虚拟机的主机中运行Docker
容器!
Docker
提供以下工具和平台来管理容器的生命周期:
- 使用容器开发应用程序及其支持组件
- 容器成为分发(
distributing
)和测试(testing
)应用程序的单元 - 准备好后,将应用程序作为容器或编排的服务部署到生产环境中。无论您的生产环境是本地数据中心、云提供商还是两者的混合体,这都是一样的
Docker引擎
Docker
引擎是一个客户机-服务器(client-server
)应用程序,具有以下主要组件:
- 服务器是一种称为守护进程(
dockerd
命令)的长时间运行程序 REST API
来指定程序可以用来与守护进程对话并指示它做什么的接口- 命令行界面(
CLI
)客户端(docker
命令)
CLI
使用Docker REST API
通过脚本或直接CLI
命令来控制Docker
守护进程或与之交互。许多其他Docker
应用程序使用底层API
和CLI
守护进程创建并管理Docker
对象,如图像(image
)、容器(container
)、网络(network
)和卷(volume
)
注意:
Docker
是在开源Apache2.0
许可下授权的
我能用Docker做什么?
快速、一致地交付应用程序
Docker
通过允许开发人员在标准化环境中使用本地容器(提供应用程序和服务)来简化开发生命周期。容器非常适合连续集成和连续交付(CI/CD
)工作流
考虑以下示例场景:
- 您的开发人员在本地编写代码,并使用
Docker
容器与同事共享他们的工作 - 他们使用
Docker
将应用程序推送到测试环境,并执行自动化和手动测试 - 当开发人员发现
bug
时,他们可以在开发环境中修复它们,并将它们重新部署到测试环境中进行测试和验证 - 测试完成后,将更新后的映像推送到生产环境中就可以简单地为客户完成修复
响应式部署和扩展
Docker
基于容器的平台允许高度可移植(highly portable
)的工作负载。Docker
容器可以运行在开发人员的本地笔记本电脑、数据中心的物理或虚拟机、云提供商或混合环境中
Docker
的可移植性和轻量级特性也使得动态管理工作负载、根据业务需求放大或缩小应用程序和服务变得非常容易,几乎是实时的
在同一硬件上运行更多工作负载
Docker
轻巧快速。它为基于hypervisor
的虚拟机提供了一个可行、经济的替代方案,因此您可以使用更多的计算能力来实现业务目标。Docker
非常适合高密度环境和中小型部署,在这些环境中,您需要用更少的资源做更多的事情
Docker架构
Docker
使用客户机-服务器架构。Docker
客户端与Docker
守护进程通信,后者负责构建、运行和分发Docker
容器。Docker
客户端和守护进程可以在同一个系统上运行,也可以将Docker
客户端连接到远程Docker
守护进程。Docker
客户端和守护进程使用REST API
,通过UNIX
套接字或网络接口进行通信
Docker守护进程
Docker
守护进程(dockerd
)监听Docker API
请求并管理Docker
对象,如图像、容器、网络和卷。守护进程还可以与其他守护进程通信以管理Docker
服务
Docker客户端
Docker
客户端(docker
)是许多Docker
用户与Docker
交互的主要方式。当您使用docker run
等命令时,客户端会将这些命令发送给dockerd
,dockerd
会执行这些命令。docker
命令使用docker API
。Docker
客户端可以与多个守护进程通信
Docker注册表
Docker
注册表(registry
)存储Docker
镜像。Docker Hub
是任何人都可以使用的公共注册表,Docker
默认配置为在Docker Hub
上查找镜像。你甚至可以运行自己的私有注册表。如果您使用Docker
数据中心(DDC
),它包括Docker Trusted Registry
(DTR
)
使用docker pull
或docker run
命令时,将从配置的注册表中提取所需的镜像。使用docker push
命令时,镜像将被推送到配置的注册表中
Docker对象
使用Docker
时,您需要创建和使用镜像、容器、网络、卷、插件和其他对象。本节简要概述了其中一些对象
镜像
镜像是一个只读模板(read-only template
),用于创建Docker
容器。一个镜像通常基于另一个镜像,并带有一些额外的自定义。例如您可以构建一个基于ubuntu
镜像的镜像,但是安装了Apache web
服务器和您的应用程序,以及使您的应用程序运行所需的配置详细信息
您可以创建自己的镜像,也可以只使用其他人创建并在注册表中发布的镜像。要构建自己的镜像,需要创建一个Dockerfile
,通过简单的语法来定义创建镜像并运行它所需的步骤。Dockerfile
中的每条指令都会在镜像中创建一个层(layer
)。更改Dockerfile
并重新生成图像时,仅重新生成已更改的层。与其他虚拟化技术相比,这是使图像如此轻量级、小型和快速的原因之一
容器
容器是镜像的可运行实例。您可以使用Docker API
或CLI
创建、启动、停止、移动或删除容器。您可以将容器连接到一个或多个网络,将存储附加到该容器,甚至可以基于其当前状态创建新镜像
默认情况下,容器与其他容器及其主机隔离得相对较好。您可以控制容器的网络、存储或其他底层子系统与其他容器或主机的隔离程度
容器由其镜像以及创建或启动时提供给它的任何配置选项定义。当容器被移除时,任何未存储在持久性存储中的更改状态都将消失
docker run命令示例
下面的命令运行一个ubuntu
容器,以交互方式连接到本地命令行会话,并运行/bin/bash
$ docker run -i -t ubuntu /bin/bash
运行此命令时,将发生以下情况(假设使用的是默认注册表配置):
- 如果你没有本地的
ubuntu
镜像,docker
会从你配置的注册表中提取它,就像你已经手动运行docker pull ubuntu
一样 Docker
创建了一个新的容器,就像您手动运行了Docker container create
命令一样Docker
为容器分配一个读写文件系统,作为容器的最后一层。这允许正在运行的容器在其本地文件系统中创建或修改文件和目录Docker
创建一个网络接口,将容器连接到默认网络,因为您没有指定任何网络选项。这包括为容器分配IP
地址。默认情况下,容器可以使用主机的网络连接连接到外部网络Docker
启动容器并执行/bin/bash
。由于容器以交互方式运行并连接到您的终端(由于-i
和-t
标志),您可以当输出被记录到你的终端时使用键盘提供输入- 当您键入
exit
终止/bin/bash
命令时,容器将停止但不会被删除。您可以重新启动或删除它
服务
服务(service
)允许您连接多个Docker
守护进程来扩展容器,所有这些守护进程和多个管理者(manager
)和工作人员(worker
)像蜂巢(swarm
)一样一起工作。swarm
的每个成员都是docker
守护进程,所有守护进程都使用docker API
进行通信。服务允许您定义所需的状态,例如在任何给定时间必须可用的服务副本的数量。默认情况下,服务在所有工作节点上都是负载平衡的。对于消费者来说,Docker
服务似乎是一个单独的应用程序。Docker
引擎支持Docker1.12
及更高版本的Swarm
模式
基础技术
Docker
是用Go
编写的,它利用了Linux
内核的一些特性来提供它的功能
命名空间
Docker
使用称为命名空间(namespace
)的技术来为容器提供独立工作区。运行容器时,Docker
会为该容器创建一组命名空间
这些命名空间提供了一个隔离层。容器的每个方面都在一个单独的命名空间中运行,其访问权限仅限于该命名空间
Docker
引擎在Linux
上使用如下命名空间:
pid
命名空间:进程隔离(PID:Process ID
,进程ID
)net
命名空间:管理网络接口(NET:Networking
,网络)ipc
命名空间:管理对IPC
资源的访问(IPC:InterProcess Communication
,进程间通信)mnt
命名空间:管理文件系统挂载点(MNT:Mount
,挂载)uts
命名空间:隔离内核和版本标识符。(UTS:Unix Timesharing System
,Unix
分时系统)
控制组
Linux
上的Docker
引擎还依赖于另一种称为控制组(control group, cgroup
)的技术。cgroup
将应用程序限制为特定的资源集。控制组允许Docker
引擎将可用的硬件资源共享给容器,并可选地实施限制和约束。例如,可以限制特定容器的可用内存
联合文件系统
Union
文件系统(union file systems, UnionFS
)是通过创建层来操作的文件系统,使它们非常轻量级和快速。docker
引擎使用UnionFS
为容器提供构建块。docker
引擎可以使用多个UnionFS变体,包括AUFS、btrfs、vfs
和DeviceMapper
容器格式
Docker
引擎将命名空间、控件组和UnionFS
组合成一个称为容器格式(container format
)的包装器(wrapper
)。默认的容器格式是libcontainer
。未来Docker
可能会通过集成BSD Jails
或Solaris Zones
等技术来支持其他容器格式